客戶端和伺服器是否都需要實施 OpenSSL 保護以防止 CBC 攻擊

關於 OpenSSL 0.9.6d 中實施的保護（在第 2 節中描述。http://www.openssl.org/~bodo/tls-cbc.txt）。我的理解是，該機制在發送數據時會預先設置一條空記錄，以使 IV 不可預測。但是客戶端->伺服器和伺服器->客戶端維護單獨的 IV 數據。

如果依靠這種機制來防禦CBC漏洞（例如BEAST），是否需要客戶端和伺服器都啟用此機制？

是的，客戶端和伺服器都必須啟用此機制才能獲得對 BEAST 和類似攻擊的全面保護。

特別是，如果客戶端是具有腳本功能的瀏覽器，則客戶端實現必須在每個內容包之前發送空包。僅在伺服器端啟用此功能，僅意味著伺服器將發送此類空數據包。這不會提供針對瀏覽器的基於腳本的攻擊的保護。

引用自：https://crypto.stackexchange.com/questions/14349